Swedbank internetbankā ievieš drošības attēlu

Šodien izdomāju ielīst internetbankā un apskatīties, kas tur darās ar manu kontu. Pēc pēdējiem gadījumiem ar skimmeriem uz bankomātiem Latvijā un pirms tam Kijevas bankomātiem, esmu kļuvis paranoiskāks un ik pa laikam (vismaz reizi divās nedēļās) pārliecinos par sava konta stāvokli. Un ko es redzu šodien?

Parādījusies kaut kāda bilde, kas nosaukta par drošības attēlu. Otrā doma, kas iešāvās prātā, uzreiz pēc pirmās bija – ņihuja sjebe

Pirmā doma, kas paskrēja garām, bija filma Johnny Mnemonic (1995) jeb pāris kadri no tās. Tur galvenais varonis galvā glabāja cik tur tos megabaitus ar informāciju un kā parole jeb pieejas kods pie šiem datiem kalpoja 3 bildes, kas saliktas noteiktā secībā.

Tāpēc arī tā otrā doma tādos tempos paskrēja garām pirmajai. Un es kā traks mēģināju ar peli trāpīt pa saiti ar tekstu “kas ir drošības attēls”. Diemžēl trešā doma uzgāza virsū ledainu ūdeni un abas pirmās noplaka.

Izvēlaties attēlu, kas Jums patīk un ko atcerēsieties, un saglabājiet to kā savu internetbankas drošības attēlu. Katru reizi, kad pieslēgsieties internetbankai, pārliecinieties, ka drošības attēls ir Jūsu izvēlētais. Sazinieties ar Telefonbanku, ja attēls ir mainījies, jo tas var nozīmēt, ka lietot šo sesiju var nebūt droši. Telefonbankas numurs ir 67024555. Jūs varat zvanīt telefonbankai arī gadījumos, ja nepieciešama papildus informācija par drošības attēlu.

Skaidrojums man tā arī neko neizteica, bet es šo jaunievedumu izprotu sekojoši.

Tā kā ir palielinājies dažādu interneta krāpniecību skaits, kad vilto mājaslapas izskatu un tādā veidā no lietotājiem mēģina izkrāpt paroles vai autorizācijas kodus. Kaut vai pēdējais gadījums ar Draugiem.lv viltojumu Riiga.lv lapā vai arī pirms tam ar pašas Hansabankas internetbanku. Tad viņi ievieš personalizēto bildi, kas kalpo kā unikāls dizaina elements jeb īpašs atgādinātājs cilvēkam, lai viņš pievērstu uzmanību lapai un saprastu, ka kaut kas nav kārtībā. Ierindas lietotājs var arī nesaprast, ka viņš atrodas svešā lapā, bet ar šādu personalizēto attēlu varēs vieglāk pamanīt, ka kaut kas nav kārtībā.

Es biju jau sapriecājies, ka tūlīt pat izvēlēšos bildi, kas būs nākamreiz jāizmanto pie autorizācijas, bet nekā. Nāksies vēl kādu brīdi pagaidīt. 🙂

Zīmīgi ir tas, ka man jau kuro reizi sanāca uzrauties uz kaut ko jaunu pavisam nejauši, jo izrādās, ka tas ir tikai šodien parādījies.

2009.gada 22.janvārī Swedbank internetbankā privātpersonām ir veikti drošības uzlabojumi.

Klientam pievienojoties internetbankai, virs kontu informācijas un ziņojumiem, parādās jauns drošības attēls. Turpat atrodas arī drošības attēla lietošanas apraksts. Klients var izvēlēties savu drošības attēlu, kas kalpos viņam kā atgādinājums, ka viņš atrodas Swedbank internetbankas lapā.

34 komentāri par “Swedbank internetbankā ievieš drošības attēlu

  1. Black Napalm

    Savā ziņā, protams, pozitīvi.. Taču, manuprāt, diezgan bezjēdzīgi (ja nu vienīgi – dažiem, varbūt, rada drošības sajūtu).
    Krāpnieku veidotās lapas taču parasti cenšas vienkārši iegūt pēc iespējas vairāk datu (lietotāja numurs, parole, kodu kartes informācija), un pēc tam pāradresē uz īsto internetbanku, vai arī parāda “atvainojiet, tehniskas problēmas” vai ko tādu.. ne jau dublē pilnīgi visu internetbankas funkcionalitāti (ieskaitot, piemēram, kontu pārskatus utt.). Un, ņemot vērā, ka šis attēls tiek rādīts tikai tad, kad cilvēks jau ir ielogojies – kādā veidā tas varētu kaut ko padarīt drošāku?

    Atbildēt
  2. si

    Nu tas nav nekas jauns, kādu laiku atpakaļ(gadu?) Yahoo arī izmantoja tās personalizētās bildītes autorizējoties, tagad nezinu vai vēl izmanto.

    Atbildēt
  3. bush

    Es atkal nesaprotu.. Nu, jā, arī nesaprotu. Vai tad ļaundaris, kas dabūs manus ciparus, mainīs attēlu, lai es sajustos nedroši. Nē, taču. Kādos tad gadījumos šamējam ir paredzēts mainīties?

    Atbildēt
  4. Black Napalm

    Padomāju vēl mazliet – ja patiešām kāds ļaundaris ir tik ļoti papūlējies, lai viss izskatītos kā tam jābūt, un savā falšajā lapā patiešām sniedz reālo konta informāciju un citas lietas (izmantojot serveri kā starpnieku starp īsto hanzanet un lietotāju, tajā starpā saglabājot svarīgos datus un/vai izmainot naudas saņēmēju brīdī, kad tiek veikts kāds maksājums), tad pilnīgi nekādas problēmas nesagādā translēt arī šo attēlu – cik pamēģināju, tad elementārs labais klikšķis un “save image as” ļauj man iegūt uz sava cietā diska smuku failu ar nosaukumu “securityImage.png”, kurā arī ir redzams mans “drošais” attēls..

    Līdz ar to, mainu savu iepriekšminēto izteikumu “diezgan bezjēdzīgi” un “pilnīgi bezjēdzīgi”.
    Kā vienmēr, ja kāds gudrāks cilvēks pastāstīs, kāpēc man nav taisnības, es tikai priecāšos 🙂

    Atbildēt
  5. aLz

    Mēģināšu būt “gudrāks cilvēks”. 😀 Šīs bildītes jēga ir šāda – Tu ielogojies savā ĪSTAJĀ ibankā un uzliec bildīti (pieņemsim, ka tas būs burkānu saišķis). Tad, kad Tev būs iebarota hakera lapa un Tu mēģināsi tur ielogoties, pēc ielogošanās Tavs burkānu saišķis tur nebūs. Tā Tu uzreiz varēsi redzēt, ka tā nav Tava ibanka (diemžēl hakeri jau būs ieguvuši Tavu id/paroli/kodu). Šī bildīte varētu palīdzēt lietotājam ātrāk apjēgt, ka viņa dati ir nonākuši svešās rokās.

    Atbildēt
  6. Black Napalm

    aLz: bet hakeru lapas parasti, pēc informācijas saņemšanas, redirektē uz īsto banku – un tur ielogojoties, viss jau ir OK, un es (jo es esmu muļķis un vadu visu savu informāciju, ieskaitot visus drošības kodus, jebkurā lapā, kas kaut nedaudz atgādina manu internetbanku), ielogojoties nu jau īstajā lapā, uz kuru mani redirektēja, redzu savu drošības bildi – tādā veidā dzēšot jebkādas manas aizdomas, ka iepriekšējā lapa, kurā ievadīju visus savus kodus, varētu būt kaut kas slikts, jo es taču domāju, ka tā lapa bija tā pati, kurā es esmu tagad..

    Atbildēt
  7. andris

    Ir jau redzēta līdzīga sistēma – jāieraksta savs personīgais teksts. Tad pēc ielogošanās tas tiek parādīts. Tāda sistēma ir noderīga ir noderīga, bet šitā parodija ar attēliem ir neprofesionāla, drošības ziņā gandzīz neko nedod un, kā es uzskatu, ņirgājas par klientiem “izvēlies burkāna vai bitītes vai […] bildīti”.

    Atbildēt
  8. ivanZ

    cik es saprotu – “securityImage.png” nav viena konkrēta bilde, tādēļ to nokopēt ir diezgan problemātiski, ja vien neesi ielogojies īstajā vidē un uzzinājis bildi, ko jūzers izmanto.

    Atbildēt
  9. vdl

    gadiijumaa ja peec logina paraadiis ‘atvainojiet tehniska kljuume’ userim burkaans neraadiisies ne iistajaa ne feikajaa lapaa. attieciigi joprojaam nekaada nojausma par lapas validitaati nerodiisies. imho vairaak ir taadu lapu kuras pieraksta datus un tad redirektee projaam nevis meegjina caur sevi transleet traffiku/etc.

    imho bezjeedziigi vai arii prosta es neredzu tolku tam visam.

    Atbildēt
  10. Dveesele

    cik es noprotu redirekts uz iisto lapu nestraadaa, jo hansabankai ir 2 liimenju autorizaacija, un 2 reizee ir jaaievada kods, kursh mainaas.

    tiesa gan cilveeki kuri izprot shiis bildes noziimi arii saprot kaadaas lapaas iet 😀

    Atbildēt
  11. peech

    Līdzigu sistēmu lietoju, kad dzīvojos Kanādā, tiesa tur nebija nekādu drošības kodu (kodu kartes) tikai lietotāja identifikators, 5 jautājuma frazes, kuras randomā tika izvēlētas un uzkurām bija jaatbild un drošības attēls 🙂

    Priecē, ka attīstamies drošības ziņā.

    Atbildēt
  12. Black Napalm

    Dveesele: strādā gan.. nu, ne jau tieši, bet pēc visu krāpniekiem svarīgo datu ievadīšanas Tu vienkārši tiec redirektēts uz īsto sākumlapu.. un reālā dzīvē tas izskatās tā (uzrakstīšu ar citu piemēru, kas nav saistīts ar krāpniecību):
    Tu gribi ielogoties, piemēram, draudzīgajā portālā, vai g-pastā – ievadi savu e-pastu un paroli, nospied “enter”, un.. Tevi neielaiž lapā bet gan aizmet vēlreiz uz to pašu sākumlapu.. Ko Tu darīsi? Visticamāk jau nodomāsi, ka tas bija kaut kāds gļuks servera galā, un ievadīsi savu informāciju vēlreiz un mēģināsi ielogoties vēlreiz, nevis spiedīsi “back” un sāksi pētīt vai gadījumā iepriekš nebiji krāpnieku lapā..

    Tāpat arī darbojas krāpnieku banku lapas – Tu ievadi prasīto informāciju, tevi redirektē uz īsto lapu, taču Tev izskatās, ka vēl esi tajā pašā lapā, tikai kaut kāda servera gļuka dēļ esi pēkšņi izlogots ārā – tā kā Tu vienkārši mēģināsi ielogoties vēlreiz. Vēl jo vairāk – pat ja radīsies kaut kādas aizdomas, vidusmēra pilsonis nespiedīs “back”, bet gan paskatīsies kādā lapā viņš atrodas šobrīd – un šobrīd viņš jau atrodas īstajā lapā. Un piedevām vēl ielogojoties tagad ieraudzīs savu slepeno zīmējumu, un tad nu patiešām liksies, ka viss ir kārtībā..

    Atbildēt
  13. Didulis

    Slinkums tagad logoties hanzanet un skatīties, kā tur izskatās, taču ja ir tā kā cilvēki te stāsta – bilde parādās tikai pēc koda ievadīšanas, tad tas tik tiešām ir nedroši. Ja parādās pēc login un pirms koda ievadīšanas, tad ir nedaudz drošāk. Bildi autorizēt var arī tikai pēc login datiem.

    Un loģika drošības bildei slēpjas sekojošā faktā. Lietotājs ielogojos un ierauga svešu bildi vai arī to neredz nemaz. Ja lietotājs ir apķērīgs viņam ir 2 opcijas – zvanīt uz banku un informēt, ka bilde ir nepareiza; pārliecināties, ka ievada pareizo hanzanet adresi un pēc ielogošanās nomainīt savu paroli.
    Jā, redirekts uz īsto login formu varētu neradīt aizdomas (tā iemesla dēļ pirms 3 gadiem es atteicos no Unibankas, jo no mājām neizdevās ielogoties ne ar vienu browseri). Tādēļ par to Hanzabankai der piedomāt, piemēram, unikāls paziņojums par neveiksmīgu login. Tik man nenāk prātā, kā kaut ko tādu varētu personalizēt, lai lietotājs būtu drošs. No otras puses, Hanzabankai kopā ar šo paziņojumu vajadzēja izplatīt informāciju, ka vienmēr pēc neveiksmīga login tiek parādīts tāds un tāds paziņojums un ja šāds paziņojums nav redzams, lai lietotājs pārliecinās, kas tā par lapu, kurā viņš ievada savus login datus. Varbūt vēl nav par vēlu šādu informāciju pievienot, jo diez vai visi būs paspējuši iepazīties ar drošības attēlu. Tik šis arī nav drošs risinājums, jo to arī varēs viegli nokopēt, tik tad phishing lapās izpaliks redirekts uz īsto lapu.
    Vienīgais daudz maz drošais risinājums ir elektroniskais paraksts. To gan phishing lapās būs pagrūti nospert un noviltot. Tik pateicoties dažiem pelnīt gribētājiem, tas vēl daudzus gadus nebūs izplatīts tautā.

    Atbildēt
  14. BlackHalt

    Vispār tā bilde nav tikai plika burkāna bilde.

    Uz tās bildes tiek uzdrukāta virsū (ne html, bet aptuveni tā, kā ar PHP imagettftext) arī šada tāda tekstuāla informācija, aptuveni:

    Sveicināti, Laimdota
    Pedējo reizi jūs pievienojāties … blabla …

    Bildes platums ir ~700px. To tekstu gan viņi varēja kaut kā labāk sasaistīt ar bildi, bildes dizainu.

    Atbildēt
  15. BlackHalt

    A par to lietderīgumu un tā – nav jau tā, ka vienmēr ir tik vienkārša phishing lapa, ‘kas redirektē’. Piemēram, ja kaut kāds vīruss pārraksta hosts failu?
    Domāju, ka tad nerādīsies pareizā bilde.

    Bet nu nezin kā viņi to visu ir sadomājuši.

    Atbildēt
  16. XQL

    Zinama mera ir pozitivi tas, ka tiek mekleti jauni risinajumi, jo pec DNS un SSL CA pedejiem ievainojumiem, ir iespejams pilniba apmulkot jebkuru, jo DNS paradisies korekti un sertifikats ari bus CA autorizets.

    Atbildēt
  17. optron

    pods koments

    Nu vispar jau Yahoo kautkas lidzigs ir kadu gadu vismaz. Tikai tur ta bilde paradas jau pie login sessijas pirms paroles ierakstišanas, saucas “sign-in seal”.

    Tur ideja ir nedaudz pareizaka – tas, kuru bildi izvelies tiek saglabats tev kukijos – un tikai Yahoo var zinat, ka cepuminš “ohuinafigbile24jsr” nozime, ka tur tev jaiebaro bilde ar burkaniem.

    Vieniga problema – ja izmanto vairakus brouzerus, vai vairakus datorus. Jo tad uz katra ta bilde ir jauzstada atseviški. https://protect.login.yahoo.com/

    Atbildēt
  18. Black Napalm

    Nu bet tieši to jau es visu laiku saku – tā bilde ir bezjēdzīga, jo parādās, kad cilvēks jau ir ielogojies..
    Patiešām – kādā veidā kāds hakeris/krakeris varētu nodublēt manu “konta pārskata” lapu? Un ja varētu, tad nekādu problēmu nebūtu nodublēt arī īsto bildi.

    Jēdzīgs variants patiešām būtu, piemēram, ja bilde automātiski parādītos tiklīdz esmu ievadījis savu lietotāja numuru un taisos vadīt paroli.. nu, es domāju, tiklīdz es ievadu pēdējo lietotāja numura ciparu, tā blakus sāk lādēt manu drošības bildi, vai kļūdas paziņojumu, ja esmu kļūdījies..
    Patiesībā, apdomājot vēlreiz, tas nebūtu labs variants.. Tādējādi jebkurš, pat nezinot paroli, var apskatīt visus drošības attēlus visiem lietotājiem..
    Tātad tomēr labāks variants būtu šo attēlu rādīt pēc numura/paroles ievades, bet pirms koda ievades – tādējādi, ja neredzu savu attēlu, varu uzreiz zvanīt bankai un sūdzēties, pirms kāds paspēs pārskaitīt kaut ko savam Nigērijas brālēnam..

    Atbildēt
  19. asdf

    Nezinu kāda tur drošība, jo to bildi jau var dinamiski paņemt no īstās lapas… ievadi kodiņus un paroles.. un kad jārādās bildei tad phishing lapa padod tālāk tos lapus īstajai lapai un parāda visas “drošības” bildītes..

    Atbildēt
  20. optron

    asdf’am taisnība. Labums nulle. Tikai ar cookies palīdzību kā tas ir Yahoo, tam būtu kautkāda jēga (Tad to varētu uzlauzt tikai, ja tiešām hanzanet.lv domēnu ierakstus pārraksta).

    Visticamākais Swedbankas Ibankas nodaļas čaļi iespringuši dēļ krīzes un mēģina izskatīties lietderīgi vadības acīs.

    Atbildēt
  21. Didulis

    Tik vienkārši nevarēs paņemt no īstās lapas bildi. Yahoo gadījumā vēl varbūt, taču normālos servisos pirms autorizācijas tiek pārbaudīti daudzi dati, piemēram, referer. Jā, arī to var noviltot, taču tas jau ir nedaudz ķēpīgāks pasākums par pliku redirect.
    Par pilno pārlasi visiem kontiem, tad banka var uzlikt pārbaudi vai minūtes laikā netiek pieprasīti 3 dažādi login name bez paroles. Ja tiek, tad bloķē IP adresi uz 3-24 stundām un rāda paziņojumu – no jūsu IP adreses notika mēģinājums traucēt interneta bankas darbību, tādēļ tā bloķēta bla bla. Pret jebko ir risinājumi un jo vairāk risinājumi, jo vairāk savus paurīšus nāksies piepūlēt krāpniekiem, lai šos risinājumus apietu un radītu ticamu saita uzticamības efektu. Kā tautā saka – būs aitas, būs cirpēji. Pašiem vajag pārliecināties, kur ievadi datus.
    Te man radās doma, ka vajag browser extension (personīgai drošībai), kurš uzrāda kas pārvalda IP adrešu apgabalu, kurā atrodas web serveris, lielām kompānijām ir pašām savi IP adrešu apgabali. Pat LTC piedāvā klientiem statiskās IP adreses – ir novērots ripe.net, ka atsevišķiem subnetiem stāv klāt pierakstīts “LTC-SIA Tads un tads”.

    Atbildēt
  22. Taka

    Ziņkāres mākts – vai Latvijā vispār kāds kaut reizi ir ticis iekšā intenetbankā un nospēris naudu?
    DoS uzbrukumi neskaitās, es jautāju tieši par sekmīgu mēģinājumu ietikt kāda kontā un savākt naudu.

    Atbildēt
  23. asdf

    Diduli, ko tu pīpē? Tieši tik vienkārši arī var paņemt.. un arī referrer būs pareizs, jo nav jau problēmu nosūtīt nospertos datus.. un ne par kādiem redirektiem, te nav runa…

    Darbības princips vienkārš.

    Ir fake lapa, sauksim viņu par “A”
    Un ir īstā bankas lapa sauksim viņu par “B”
    Un ir dumjais lietotājs, sauksim viņu par “D”

    un shēma sanāk šāda:
    D A B

    Kā redzi, visa lietotāja komunikācija ir tikai ar “A”, kas uztur divvirzienu saziņu gan ar “B”, gan “D”.

    Atbildēt
  24. Master

    Tu iecheko ineta banku reizi 2 nedelas? man pat nepaiet 2-3 dienas, ka veicu vai nu maxajumu vai biidu $ starp saviem kontiem, lai uz kartes nekraatu visu pikji kas ienak

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.